Pourquoi l’authentification sans connexion est l’avenir de l’authentification
Certains disent que la familiarité engendre le mépris.
Cependant, une étude psychologique révèle tout le contraire : plus les gens sont exposés à quelque chose, plus ils ont tendance à l’apprécier – et plus ils sont susceptibles de croire que cette chose est sûre et digne de confiance.
Ce phénomène peut expliquer la persistance de la boîte de dialogue de connexion traditionnelle avec nom d’utilisateur et mot de passe, que de trop nombreuses entreprises continuent d’utiliser comme porte d’entrée numérique de leur marque. Nous connaissons tous cette boîte de dialogue de connexion et un grand nombre de consommateurs pensent toujours que les mots de passe constituent le meilleur moyen de sécuriser leurs comptes en ligne et leurs identités numériques. Malheureusement, cette impression est totalement erronée.
En réalité, les mots de passe devinés ou volés font très souvent partie du mode opératoire des tentatives d’usurpation d’identité et à de fraude ciblant les consommateurs. Au Royaume-Uni, plus de six pour cent des habitants sont victimes de ces délits chaque année, soit une augmentation de 22 % par rapport aux taux enregistrés avant la pandémie.
Le vol de mot de passe joue également un rôle majeur dans un grand nombre de brèches de données. D’après le rapport Data Breach Investigations Report 2021 de Verizon, 89 % des brèches observées dans les applications web cette année sont imputables aux mots de passe, soit parce que les identifiants ont été volés, soit parce que les mots de passe ont été craqués lors d’attaques par force brute.
À l’heure où la transformation digitale affecte presque chaque aspect de notre vie, nous sommes amenés à effectuer de plus en plus d’activités importantes et de transactions de grande valeur en ligne. Nous possédons déjà tous plus de comptes utilisateurs (et donc de combinaisons nom d’utilisateur/mot de passe) que nous ne sommes capables de mémoriser. Les gens essaient donc de contourner le problème : 86 % des consommateurs admettent qu’ils réutilisent leurs mots de passe au moins occasionnellement.
Comme nous passons plus de temps et dépensons plus d’argent dans l’espace numérique, nous avons des attentes plus fortes en ce qui concerne la sécurité et la confidentialité de nos informations personnelles. 92 % des consommateurs déclarent qu’ils attendent des entreprises qu’elles assurent la sécurité de leurs données personnelles et 87 % déclarent qu’ils n’hésiteraient pas se tourner vers la concurrence s’ils avaient l’impression de ne pas pouvoir faire confiance à une entreprise pour le traitement de leurs données.
La conclusion est claire : si elles veulent répondre aux exigences de leurs clients, les entreprises numériques actuelles doivent trouver des solutions de connexion et d’authentification capables de fournir une sécurité plus robuste que l’ancienne approche basée sur les mots de passe, tout en offrant une expérience client optimisée.
Un avenir sans procédures de connexion
Des magasins d’alimentation sans caisses aux systèmes automatiques de paiement du stationnement directement liés à la plaque d’immatriculation d’un véhicule, des solutions innovantes qui s’appuient sur de nouveaux moyens plus pratiques de vérifier l’identité sont progressivement mises en place. À terme, et peut-être même avant la fin de cette décennie, la boîte de dialogue de connexion traditionnelle sera remplacée par des méthodes d’authentification continues, contextuelles et intelligentes. Ces solutions d’authentification sans connexion (loginless) pourront offrir un accès fluide aux utilisateurs de confiance, tout en protégeant leur sécurité et leur confidentialité.
Au lieu d’exiger que leurs utilisateurs entrent chacun un mot de passe, les systèmes d’authentification sans connexion de demain surveilleront les comportements, en mémorisant quand, où et comment les utilisateurs interagissent avec une application. Si une anomalie est détectée, une réponse de sécurité sera instantanément déclenchée. Sinon, il ne sera pas nécessaire d’effectuer la procédure de connexion.
Les terminaux pourraient par exemple utiliser des technologies telles que la reconnaissance faciale, combinée aux modèles de pression du doigt sur un écran tactile, pour vérifier que les utilisateurs sont bien qui ils prétendent être. Ils pourraient associer les données de géolocalisation aux adresses IP pour détecter instantanément lorsque des cybercriminels situés à l’autre bout du monde tentent de pirater un compte. Au lieu d’un mot de passe, ils pourraient identifier l’utilisateur par la façon dont il le tape.
Nous n’en sommes pas encore tout à fait là, mais les entreprises peuvent déjà implémenter un grand nombre des technologies qui ouvriront la voie à cet avenir. En particulier, l’authentification sans mot de passe permet d’améliorer à la fois l’expérience client et la sécurité, renforçant ainsi la confiance numérique des consommateurs tout en leur offrant des expériences fluides et optimales qui promeuvent la valeur de votre marque.
Abandonner les mots de passe
Aujourd’hui, les nouvelles options de connexion simplifiée gagnent en popularité et à mesure qu’elles se généralisent, les consommateurs trouvent que les expériences qu’elles offrent sont bien supérieures à celles offertes par les méthodes traditionnelles. Cela entraîne une évolution des attentes des clients. En conséquence, le cabinet d’analyse Gartner prévoit que, d’ici à la fin de l’année, les entreprises numériques capables d’offrir des parcours de vérification de l’identité fluides réaliseront un chiffre d’affaires supérieur de 10 % à celui de leurs concurrents moins axés sur le client.
Les consommateurs indiquent déjà leur préférence pour les méthodes de connexion sans points de friction. Les clients sont 50 % plus enclins à s’inscrire à un service en ligne s’ils peuvent utiliser une méthode d’inscription biométrique. Et 39 % des consommateurs britanniques utilisent déjà l’authentification biométrique ou sans mot de passe fréquemment ou dès qu’ils en ont l’occasion.
Fondamentalement, les méthodes d’authentification sans mot de passe (passwordless) sont celles qui n’utilisent aucun mot de passe. Les utilisateurs peuvent recevoir un lien ou un code à usage unique à entrer sur le site où ils souhaitent s’authentifier, ou sont invités à vérifier leur identité à l’aide d’une caractéristique biométrique, comme leur visage ou une empreinte digitale. De nouveaux cadres d’authentification basés sur les normes permettent également aux utilisateurs de s’authentifier en toute simplicité en utilisant un terminal enregistré pour accéder aux applications web.
Les entreprises qui utilisent l’authentification sans mot de passe ne sont pas obligées de le faire pour toutes les connexions. Elles peuvent par exemple peuvent choisir de n’autoriser les connexions sans mot de passe que pour les connexions à faible risque. Pour les connexions à haut risque, elles peuvent continuer d’exiger un ou plusieurs facteurs d’authentification forte. C’est pourquoi le déploiement de l’authentification multifacteur (MFA) constitue une base solide pour l’adoption de l’authentification sans mot de passe. Le MFA est une méthode de vérification de l’identité qui exige de l’utilisateur qu’il fournisse plusieurs éléments d’identification, par exemple un mot de passe associé à un code à usage unique envoyé par SMS sur un terminal mobile.
Une entreprise pourrait par exemple commencer son parcours passwordless en implémentant le MFA et en ajoutant une évaluation des niveaux de risque lorsqu’elle décide d’inviter les utilisateurs à confirmer leur identité en fournissant des facteurs d’authentification supplémentaires plus forts. Ainsi, une connexion provenant d’un nouveau terminal depuis un nouvel emplacement nécessiterait davantage de preuves que l’utilisateur est bien qui il prétend être, qu’une connexion provenant d’un terminal connu sur un réseau familier. En liant le facteur approprié au niveau de risque adéquat, vous pouvez offrir à la fois la commodité et une sécurité robuste.
Le même principe est à l’œuvre dans l’authentification sans mot de passe. Lorsque les risques sont faibles, l’expérience de connexion est simplifiée et les utilisateurs ont plus facilement accès aux ressources dont ils ont besoin. Mais lorsque les risques sont plus élevés, une confirmation supplémentaire est exigée.
Chez Okta, nous aidons nos clients à évoluer vers une authentification sans connexion, étape par étape.
Nous proposons un large éventail de fonctionnalités passwordless pour aider nos clients dans leur transition vers l’authentification sans mot de passe, en leur permettant d’offrir des expériences numériques attrayantes tout en éliminant les attaques d’usurpation d’identité.
Vous souhaitez savoir comment Okta aide les entreprises à préparer un avenir sans connexion ? Téléchargez notre nouveau livre blanc Build Trust, Not Barriers: That’s the Loginless Future pour découvrir comment nous œuvrons à l’avènement de notre vision, qui est de transformer l’expérience client de demain.